"Такая же политика происхождения" и скрипты, загруженные из Google - уязвимое решение?

Я прочитал здесь вопрос в SO jQuery Linking vs. Download", и я как-то не понимаю его.

Что произойдет, если вы разместите страницу на http://yourserver.com, но загрузите библиотеку jQuery из http://ajax.googleapis.com, а затем используйте функции, определенные в jQuery script?

В этом случае не учитывается "такая же политика происхождения"? Я имею в виду, можете ли вы вернуть AJAX на http://yourserver.com?
Выполняется ли выполняемый JavaScript как yourserver.com?

Моя точка зрения заключается в том, что вы не знаете, что пользователь скачал с какого-то стороннего сервера (извините, Google), и все же код, выполняемый на его компьютере, такой же хороший, как тот, который он скачал с вашего сервера?

EDIT: означает ли это, что если я использую счетчик веб-статистики от третьей стороны, я не очень хорошо знаю, они могут "ввести" какой-то код и позвонить в мои веб-службы, как если бы их код был частью моей?

Ответ 1

Владелец сайта http://yourserver.com/ должен доверять контенту, который он ссылается с других серверов (в данном случае Google). То же самое правило происхождения не относится к тегам

Конечно, скрипты внешних серверов (однажды загруженные) имеют доступ ко всей DOM: поэтому, если внешний контент скомпрометирован, могут возникать угрозы безопасности.

Как и во многих вещах в веб-мире, это сводится к доверию и непрерывному управлению.

Edit

Означает ли это, что если я использую веб-сайт? счетчик статистики от третьего лица я не очень хорошо знают, они могут "вставить" какой-то код и позвонить мне веб-сервисы, как если бы их код был частью моей?

Да.

Ответ 2

Ответ на комментарий "Редактировать": "Да". Если счетчик не был упакован в тег iframe, он как бы является частью вашего веб-сайта и может обращаться к вашим веб-службам, получать доступ к вашим файлам cookie и т.д.

Ответ 3

Да, политика не распространяется на теги <script>.

Если кто-то смог взломать хранилище google script, это повлияет на каждую страницу, обслуживаемую из каждого домена, которая использует google.com в качестве своего хоста для скриптов.